冰河木马的清除

最新推荐文章于 2025-11-04 14:03:39 发布
原创 最新推荐文章于 2025-11-04 14:03:39 发布 · 2.3k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了冰河木马的攻击与清除实验,包括观察注册表、使用冰河木马客户端控制远程主机、修改注册表进行有趣设置,以及尝试通过删除文件和修改注册表来清除木马。实验结果显示,仅修改注册表和删除文件无法完全卸载冰河木马。

实验名称

冰河木马攻击与清除

实验目的

1.了解冰河木马的架构、各项功能
2.学会利用冰河木马控制远程计算机
3.查看冰河木马源代码
4.了解注册表的结构,能够使用注册表编辑器,备份注册表,修改注册表。

实验内容
0.观察 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservice 记录当前键值。
在这里插入图片描述

观察 HKEY_CLASSES_ROOT\txtfile\shell\open\command 记录当前键值。
在这里插入图片描述

在完成第三题之后,对比前后键值的差别。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

0.1 备份当前注册表

1.运行G_Server.exe 观察是否有安装过程? 使用命令netstat -na 观察7626默认端口是否已经打开?
无安装过程
在这里插入图片描述

7626端口打开。
2.打开G_client.exe, 添加主机 并使用文件管理器控制对方主机。

在这里插入图片描述

3.搜索局域网内感染冰河木马的主机,有几台主机感染了木马程序,选取某一台感染主机进行控制。
3.1抓取对方屏幕
在这里插入图片描述

3.2重启对方主机

在这里插入图片描述
在这里插入图片描述

3.3 使用冰河信使,发送消息
在这里插入图片描述

3.4 查找资料,修改对方主机注册表,完成一个有趣的设置
修改了时间界面显示的内容
在这里插入图片描述

4.在服务器配置页面下,查看安装目录即kernel32.exe 所在目录。 kernel32.dll原本是windows中的一个dll 文件它控制着系统的内存管理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。 冰河木马将主程序名设置为kernel32.exe 很有迷惑性。
在这里插入图片描述

Sysexplr.exe 是当年超级解霸中的一个文件名,很有迷惑性。
尝试删除kernel32.exe,sysexplr.exe 是否能清除该木马? 修改注册表键值 是否能清除?
在这里插入图片描述

无法清除。

5.修改注册表,并修改文本文件的关联程序,手动卸载冰河木马服务端程序。删除冰河木马之后,使用netstat 查看7626端口是否还开启。

在这里插入图片描述
在这里插入图片描述

pray030
关注
冰河木马实验(V8.4)
野原新之助
11-20 1万+
简述: 百科词条 冰河木马开发于1999年,跟灰鸽子类似,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,跟后来的灰鸽子等等成为国产木马的标志和代名词。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。其中攻击者使用G-client.e...
网络安全基础(木马、概述、冰河木马实验)
Pluto.的博客
12-10 5428
文章目录网络安全基础一、木马1. 概述2. 特性3. 组成4. 危害5. 传播途径6. 模拟实验 网络安全基础 一、木马 1. 概述 木马通常成为黑客程序,恶意代码,也称特洛伊木马,是一个基于远程控制的黑客工具,木马程序表面上是无害的,甚至对没有警戒的用户还颇有吸引力,它们经常隐藏在游戏或图形软件中,但它们却隐藏着恶意。 2. 特性 隐蔽性 将自己伪装成合法应用程序,使得用户难以识别,这是木马病毒的首要也是重要的特征。 潜伏性 木马病毒隐蔽的主要手段是欺骗,经常使用伪装的手段将自己合法化。例如,使用合法的
冰河实例 消除冰河程序与文本文件的关联
04-17
检测注册表文本文件出键值有无被修改,可以还原 源代码 MFC编程
冰河的核心代码
07-23 2045
using System;using System.Diagnostics;using System.IO;using System.Windows.Forms;using System.Threading;using System.Runtime.InteropServices;using System.Drawing;using System.Drawing.Imaging; namespac
木马攻击实验,零基础入门到精通,看这一篇就够了!
最新发布
分享Python知识
11-04 1021
实验所属系列:系统安全攻防技术与实践实验对象: 本科/专科信息安全专业相关课程及专业:计算机基础,网络安全实验时数(学分):2学时实验类别:实践实验类。
11种流行的木马清除方法
辰风的专栏--Oracle/ClearCase管理员日记
10-19 4609
今天在网上闲逛,发现一篇帖子对于查杀木马病毒很有帮助,对于象我这样经常受木马病毒感染的用户带来了极大的帮助,现整理下来:一、木马ShareQQ这是一款QQ密码窃取软件。清除方法如下: 1、删除文件。 用进程管理软件终止spolsv.exe这个进程(或到纯DOS下),然后到windows/system文件夹下将spolsv.exe文件删除,顺便删除的还有debug.dll、MSIME5f594f58
C++ 冰河木马的实现
qq_42311391的博客
08-04 4321
文件传输采用的winsock ,截屏采用的上一个帖子,下载文件采用上上个帖子,反正你在这个博客里搜一下就可以看到了,查看文件目录也是。。。不多说了,上代码。 关于欲儿远控的说明 命令大全 dir-查询目录(查询对方指定路径的文件)——例如:dir-D:\\ down-下载链接-保存路径(让对方下载指定链接的文件)——例如:down-http://www.anyuer.club-D:...
冰河木马简易使用 ——病毒木马 003
jammny
06-03 1万+
前言: 冰河木马是一种远程控制木马,这次主要想认识一下利用冰河来控制目标主机的整个流程,其实冰河是巨老版本的木马,在很多版本较新的WIN系统即使不开杀毒软件,运行冰河服务端也不能开启7626端口。因此这里用的是win2003当靶机,win7当攻击机器。 步骤一: 准备好冰河木马,第一个是客户端,放在攻击机上进行控制,第二个是服务端,放到靶机上的 对冰河服务器程序G_ Server.exe进行配置,配置好了放到靶机上 步骤2:在靶机上运行g_server.exe,然后查看自己的端..
冰河木马清除与系统防护指南
"该资源主要涉及的是网络安全领域的知识,特别是针对冰河木马清除和文件关联的修复,以及如何防范网络攻击。内容包括系统信息获取、系统功能限制、远程文件操作、注册表操作、信息发送、点对点通信等远程控制功能...
网络安全实验报告-冰河木马实验.doc
06-24
3. 使用杀毒软件查杀冰河木马,了解其清除过程。 4. 再次在计算机B上安装冰河木马,并手动删除,包括修改注册表和文件关联,以掌握手动清除木马的方法。 #### 实验准备 在实验开始前需要做一些准备工作,包括: 1. ...
精选资源
网络安全实验报告冰河木马实验.doc
05-08
实验内容涵盖了冰河木马的基本操作,包括如何在客户端计算机上运行并使用其功能,如何在网络中种植木马并进行远程控制,以及如何发现和清除木马。实验要求注意合理使用木马,禁止恶意入侵他人电脑和网络,同时也需要...
冰河木马的使用实验
你的猴子呀
12-19 9791
前言: 作者是一个普通高校学生,在博客上开通了[网络安全学习]专栏,以此激励自己坚持学习。由于是初次进行博客创作、经验不足、可能比较粗糙,如有错漏之处希望大家能够指正、也欢迎大家一起交流学习。 如需查看完整学习博文(笔记)请点击 [网络安全学习] 进行查看 注:本实验只为与大家一起学习探讨网络安全学习,请勿用作恶意途径。 一、实验目的及要求 (1)了解冰河木马的使用 (2)掌握木马防范措施 二、实验仪器、设备或软件 软件:冰河木马名为冰河远程监控软件,在推出伊始便饱受追捧,作为一款强大的远程监控软件,它
冰河木马的使用
我还在的博客
10-06 1万+
冰河木马的使用0x00 前言0x01 环境0x02 利用过程 0x00 前言 这是我对冰河木马的使用的学习记录。 0x01 环境 服务端:windows XP sp3 客户端:windows XP sp3 0x02 利用过程 1.相互ping通 2.在其中一台windows XP sp3上打开冰河2004的客户端 3.文件---->配置服务器的程序---->设置访问口令----&gt...
恶意代码攻击实验(冰河木马和广外男孩的使用)
kaisaooo的博客
06-09 4372
目录前言一、冰河木马1.冰河木马的安装使用2.冰河木马的删除二、广外男生1.广外男生的安装和使用2.广外男生的删除总结 前言 本文用来记录实验课上冰河木马和广外男生两个病毒的使用。 冰河木马文件 链接:https://pan.baidu.com/s/1R7biBH_kYPkWErhYtrJnmA 提取码:pbbs 广外男生文件 链接:https://pan.baidu.com/s/1H3E3nWHPzwrrYMRaVvErqg 提取码:4s5t windows7 64位镜像 链接:https://pan
(2.1)【经典木马-冰河木马】详细介绍,原理、使用方法
07-09 1万+
【经典木马-冰河木马
图解一次手动杀马过程
bcbobo21cn的专栏
07-17 2993
杀!!! 杀的对象:冰河木马残余 杀的工具:powertool, 命令行 自从上次在本机做了一次冰河木马实验之后,本机就存在一点问题; 一个是,双击.txt,不能用记事本打开;一个是上网有点问题,有时网络要断开再连接,才可重新上网; 下面来手动杀一下木马; 首先,PowerTool,系统检测; 显示文件关联存在问题; 看它的右键菜单,可以 修复;
木马的远程控制和清除 实验
qq_53397065的博客
12-19 6928
实验4:木马的远程控制和清除 实验目的 1. 理解木马的关键技术:包括木马的启动、隐藏和远程控制。 2. 使用一种木马实施远程控制,并进行清除。 二、实验环境 Windows7 x64系统虚拟机;Window XP 系统虚拟机;冰河 V8.4 三、实验原理 , 使用两台虚拟机,一台充当操作机,一台充当被种植木马的目标机,然后使用冰河木马对目标机实行远程控制。 四、实验内容 1.使用一种木马实施远程控制,具体而言,在被攻击者计算机...
冰河木马使用(纯属学习)
热门推荐
Prodigal
11-26 5万+
冰河木马准备工作第一步第二步 冰河木马以及灰鸽子木马都可以实现远程控制。 一下举例冰河木马软件使用 准备工作 要向看到现象 必须用虚拟机,因为外面系统,我的是win10,即使关闭防火墙,关闭360,也会被自动删除冰河木马,因为这种木马很老,已经被列入检测的范围内,所以一般都会被干掉。 1、虚拟机中安装,两个win7 32位系统,或者一个32位一个64位,32位梓潼作为攻击目标靶机,另一个作为攻击者...
实验四 木马的远程控制和清除
君莫hacker的博客
10-13 5983
## 0x01环境配置 攻击者主机:Win7 (192.168.30.221) 受害者主机:winXP(192.168.30.134) 关闭防火墙 冰河木马下载 双击安装 自定义安装(要记住自定义安装的文件夹) 安装 打开所选择安装的文件夹 攻击者安装客户端应用 密码为:www.downcc.com ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值